業界は、効果があるものよりも売れるものを優先して評価するようになってしまった。しかし、現実的なリスクを抱えるセキュリティリーダーとして、私たちが本当に必要なのは、革新的なセールストークではなく、信頼できるソリューションだ。
サイバーセキュリティ市場は正気を失っている。
毎週のように新しいベンダーが現れ、投資家は中途半端なアイデアに資金を投じ、CISOは次の侵害を防げない製品の売り込みに埋もれている。騒音はどんどん大きくなる一方で、基本は無視され続けている。
これらの製品のほとんどは、デモですら印象的に見えない。私はプレゼンを聞きながら、なぜこれが存在するのかと疑問に思う。彼らは「セキュリティを再定義する」と約束するが、どんな問題を解決しているのかすら説明できない。資金調達のために作られていて、実運用向けではない。誰も求めていない問いへの答えだ。その間にも、同じ根本的な脆弱性が毎年企業を破壊し続けている。
ベンダーは自分たちが技術を売っていると思っている。だが実際は違う。彼らは、不可能を管理することが仕事である人々に「安心感」を売ろうとしているのだ。CISOとして私は、自分の任期中に壊滅的なことが起きる確率を減らすために購入する。すべての決断は賭けだ。この分野に「安全な」選択肢はない。私は、完璧な防御など存在しないことを知りつつ、個人と組織のリスクを減らすために購入している。
サイバーセキュリティは解くべきパズルではない。終わりのないゲームだ。勝てないと分かっていながら、最善の一手を打ち続ける。仮にすべてのシステムにパッチを当て、すべての隙間を埋めたとしても、完璧を目指すコストで会社は立ち行かなくなる。明日から完全に安全にすることもできるが、それは製品の出荷も顧客対応も収益も止める覚悟が必要だ。しかし、それはもはやセキュリティとは呼べない。
仕事は、会社を燃やさずに動かし続けることだ。だから私は稼働時間だけを気にしているわけではない。自分の人生の次の1年を決定づけるような侵害を起こさないことを気にしている。バランスが大事だ。リスクを取りすぎればニュースになる。管理しすぎればイノベーションが死ぬ。この役割の毎日は、その両者の間での交渉だ。
だから私は非常に慎重に購入する。ロードマップに合致し、リスクを定量的に減らし、スムーズに統合でき、チームが運用可能なものを買う。見えないものは守れないので「可視性」を買う。アクセスこそが本当のコントロールなので「アイデンティティ」を買う。人を愚かにせず速くする自動化を買う。そして、理論ではなく現実に「セキュア・バイ・デザイン」を実現するツールを買う。
私が買わないのは「誇大広告」だ。他の3つと重複するツールは買わない。スライドでは良く見えても現場で役に立たないものは買わない。チームの仕事を難しくする複雑さも買わない。そして、どんな問題をどうやってリスク低減するのかを、人間の言葉で明確に説明できない相手からは買わない。
すべては基本が大事
実際のところ、ほとんどの組織に必要なのは新しいツールではない。基本を正しく実行することだ。継続的なパッチ適用、適切なアクセス制御、フラットなネットワークを避けるセグメンテーションができていれば、派手なツールなしでも市場の大半より先を行ける。堅実なパッチ適用だけで、ベンダーが「検知する」と約束する攻撃面の大部分は消える。ネットワークセグメンテーションは横移動を防ぐ。アクセス制御は被害範囲を限定する。これらは新しいアイデアではない。古くからあり、実証されているが、投資家にとって魅力的に聞こえないから無視されているだけだ。
そして、それこそが問題だ。業界は、効果があるものへの評価をやめてしまった。売れるものを評価している。ベンチャーキャピタルは「AI搭載」や「自律型」などの流行に資金を投じる一方で、基本は腐っていく。ベンダーは流行を追いかける。流行が資金を呼ぶからだ。CISOも流行を買う。痛みを止めてくれる何かを必死で求めているからだ。このサイクルは自らを加速させる。皆が合理的に動いているが、結果は狂気だ。
ベンダーだけを責めることはできない。私たちが彼らの市場を作ったのだ。イノベーション=進歩という幻想を信じた。基本が難しく地味だから無視した。使いこなせない製品で環境を埋め尽くし、それを成熟だと呼んだ。複雑さを戦略と呼んだ。そして、同じ根本原因で何度も倒れるたびに驚いたふりをする。
良いセキュリティは、今も昔も良いITから始まる。所有しているものが分からなければ守れない。パッチを当てなければ、すでに侵害されている。過剰な権限やフラットなネットワークを許せば、1つの認証情報が侵害されただけで危機になる。解決策は存在する。ただし、派手ではない。忍耐、プロセス、継続が必要だが、この業界はそれらを避ける。なぜならRSAの写真映えがしないからだ。
求めているのは革命ではなく信頼性
私はテクノロジー反対派ではない。頼りにしている。ただし、目的を持って購入する。基本を強化し、規律を徹底し、人為的ミスを減らすツールを買う。複雑化させず、シンプルにするソリューションを買う。そして、不都合な真実でも正直に話してくれるベンダーから買う。
良いベンダーはこれを理解している。彼らは革命を売っているのではなく、信頼性を売っている。準備を整えて現れ、私のビジネスを理解し、自分たちのソリューションがどこにフィットするかを知っていて、できること・できないことを正直に伝える。私が魔法を求めていないことを知っている。終わりのない問題を管理する助けを求めているのだと分かっている。
投資家も責任を持つべきだ。実体のない製品に資金を投じるのをやめよう。次の略語を追いかけるのをやめよう。地味だが重要な分野――可視性、アイデンティティ、セキュアな設定、開発者支援、IT衛生――に投資しよう。それこそが企業をニュースから遠ざけるものだ。
そしてCISOである私たちも、自分たちが被害者だと装うのをやめよう。違う。私たちの購買習慣がこの市場を作った。騒音を評価し、成熟度に合わないイノベーションを追いかけた。業界を変えたいなら、支出の仕方を変えなければならない。買う量を減らし、賢く買う。新しいプラットフォームを買う前に、人・プロセス・アーキテクチャに投資しよう。パッチが当てられない、アクセス制御ができない、ネットワークがまだフラットなら、新しいツールは不要だ。必要なのは規律だ。
セキュリティは技術の問題ではない。実行の問題だ。それを直さない限り、どれだけ資金やAIや新しいカテゴリがあっても私たちは救われない。
私はこれからも本当に重要なものを買い続ける。実際のリスクを減らし、基盤を強化するものを買う。侵害されにくく、復旧しやすくするものを買う。それ以外、騒音や誇大広告、根本的な問題を解決しない無限のツール群は、棚か(あなたのPowerPointスライドの中)に置いておいてほしい。
